Let’s Encrypt: Unexpected certificate warnings

On Mai 2021, Let’s Encrypt issued a note about the expiration of their DST Root CA X3:
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Now that this root certificate has expired (2021-09-30), your systems might issue a warning when connecting to sites using Let’s Encrypt certificates.

To fix this glitch on a general client, follow the instructions of the link above:

  • Ensure that the involved systems trust the ISRG Root X1 CA
  • If such systems depend on OpenSSL, ensure that they’re using at version 1.1.0 or later
«Let’s Encrypt: Unexpected certificate warnings» weiterlesen

 78 total views,  24 views today

FortiWeb v6.4.0 and Let’s Encrypt

FortiWeb v6.4 starts to support the integration with Let’s Encrypt. This allows you to automatically generate server certificates alleviating the need to upload private certificates.

The administration guide gives you some information on how to request those Let’s Encrypt certificates but in our opinion the configuration guidelines are not sufficient.
So we tried to give some more information on how to configure FortiWeb to obtain a server certificate from Let’s encrypt and how to use them in the server policy.

«FortiWeb v6.4.0 and Let’s Encrypt» weiterlesen

 32 total views,  3 views today

What’s new with FortiOS 6.2/6.0.8: Update issue with certificate for WebUI

Recently we have had a few support cases where a customer was unable to log in to the firewall via WebUI after the firmware update. But SSH access worked fine.

It turned out that during the update process the server certificate used for the WebUI is lost.

Config with v6.0.4 (it does not happen with «self-signed» only):

config system global
set admin-server-cert "self-signed"
end
«What’s new with FortiOS 6.2/6.0.8: Update issue with certificate for WebUI» weiterlesen

FGT: CA Zertifikat für Webfilter Block Pages

Problem

Wird eine Block Meldung der FortiGate zum Beispiel wegen dem Webfilter angezeigt und die aufgerufene Seite ist eine Seite mit HTTPS, wird auch die Block Seite in HTTPS angezeigt. Damit die Block Seite für HTTPS angezeigt werden kann, braucht es ein Zertifikat. Standardmässig nimmt die FortiGate das eigene CA Zertifikat und stellt damit ein neues für die aufgerufene Seite aus. Daher zeigt jeder Browser eine Zertifikats-Fehlermeldung an, da er diesem CA Zertifikat der FortiGate nicht vertraut.

«FGT: CA Zertifikat für Webfilter Block Pages» weiterlesen

Neuzugänge in unserer Knowledge Base

Sie sind zwar nicht mehr brandfrisch – aber immer noch heiss genug, um noch mal darauf aufmerksam zu machen.

Wir haben zwei neue KnowledgeBase Artikel geschrieben und auf unserem DocServer veröffentlicht.

Beim einen geht es um Zertifikate. Es wird beschrieben, wie diese umformatiert werden können, wie man diese in unsere Geräte (Fortigate/Fortimail/Seppmail/Watchguard SSL/Mailfoundry) reinbekommt und vor allem welche Fallstricke es zu beachten gibt. (KB_-_Import_Certificates.pdf).

Der zweite KnowledgeBase Artikel nimmt sich der Thematik «SIP über Fortigate» an. Das Ganze funktioniert nämlich wunderbar – nur muss man auch hier ein, zwei Dinge beachten. Inhalte des Artikels sind eine kurze Einführung in SIP, die Problematik von SIP mit einer Firewall und wie die Fortigate es doch schafft, SIP Traffic sauber zu verarbeiten. (KB_-_FortiGate_SIP_Konfiguration_v42.pdf)

Viel Spass also beim Lesen!